Liste des actions pour se mettre en conformité

protection de donneé rgpd france

Mon entreprise est-elle conforme au RGPD ?

Lorsque le nouveau Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, presque toutes les entreprises y travaillaient consciencieusement. Mais après le 25 mai 2018.

DÉSIGNER UN PILOTE ( DPO, délégué à la protection des données )

Pour piloter la gouvernance des données personnelles de votre structure, vous aurez besoin d’un véritable chef d’orchestre qui exercera une mission d’information, de conseil et de contrôle en interne : le délégué à la protection des données. En attendant 2018, vous pouvez d’ores et déjà désigner un « correspondant informatique et libertés », qui vous donnera un temps d’avance et vous permettra d’organiser les actions à mener.

Ce délégué à la protection des données est un référent impartial, un chef d’orchestre qui met tout en œuvre pour vous informer, vous conseiller et contrôler la conformité en interne.

Il supervise en travaillant en toute indépendance. Il est possible d’internaliser cette fonction comme dans les établissements publics, ou de l’externaliser :

auprès d’un prestataire spécialiste tel qu’un avocat, un DPO indépendant,
l’actuel CIL (Correspondant Informatique et Libertés) peut devenir le DPO et voir le champ de ses responsabilités s’agrandir

  • Ses obligations :
  • se tenir informé de toutes les contraintes légales et des évolutions,
    étudier et observer quelles données sont traitées et comment,
    fournir un état des lieux,
    sensibiliser les dirigeants sur toutes les implications du règlement européen,
    mettre en place des actions pour engager les responsables,
    piloter la mise en œuvre de la conformité et effectuer un suivi dans le temps.
  • Ses compétences :
  • maîtriser les droits informatiques et libertés,
    comprendre le fonctionnement des technologies de l’information et de la communication,
    savoir négocier,
    une fibre communicante,
    une expérience en gestion de projet.

CARTOGRAPHIER VOS TRAITEMENTS DE DONNÉES PERSONNELLES

Pour mesurer concrètement l’impact du règlement européen sur la protection des données que vous traitez, commencez par recenser de façon précise vos traitements de données personnelles. L’élaboration d’un registre des traitements vous permet de faire le point.

Ce registre démontre son utilité car il permet à une entreprise :

  • de cartographier les traitements de données personnelles,
    d’avoir une vision claire sur la sécurité des données,
    de dresser un bilan complet et détaillé des procédures,
    de déterminer quelles actions mettre en œuvre pour garantir le respect de la vie privée.
    Le registre des traitements est une boussole : il permet à l’entreprise d’estimer l’impact du RGPD sur son organisation et d’identifier les actions à déployer.

PRIORISER LES ACTIONS À MENER

Sur la base de votre registre, identifiez les actions à mener pour vous conformer aux obligations actuelles et à venir. Priorisez ces actions au regard des risques que font peser vos traitements sur les droits et les libertés des personnes concernées.

Votre registre des traitements reflète votre situation concernant les principes fondamentaux du RGPD :

  • le consentement,
  • le respect de la vie privée,
  • le droit à l’oubli (désindexation des pages web mentionnant ses données),
  • le droit à la portabilité (récupérer ses informations et les transmettre à une autre organisation).

Les risques sont avérés dès lors que les droits et libertés des personnes sont mis en cause.

Les points de vigilance :

  • la quantité et la qualité des données récoltées et traitées sont raisonnables, nécessaires et sécurisées au regard de la finalité du traitement,
  • la base juridique du traitement est identifiée (obligation légale, consentement, contrat, etc.),
  • les mentions d’informations et mentions légales respectent les exigences du GRPD,
  • vous avez informé vos sous-traitants et ils démontrent leurs capacités à assurer un haut niveau de confidentialité et de sécurité,
  • vous donnez les moyens aux personnes d’exercer leurs droits de rectification des informations, d’accès, de surpression, de consentement et de portabilité.

En fonction de vos manquements, vous devez tout mettre en œuvre pour vous conformer, mais aussi être en mesure d’apporter la preuve de votre engagement sur la bonne voie.

GÉRER LES RISQUES

Si vous avez identifié des traitements de données personnelles susceptibles d’engendrer des risques élevés pour les droits et libertés des personnes concernées, vous devrez mener, pour chacun de ces traitements, une analyse d’impact relative à la protection des données (AIPD).

Vous avez identifié un risque : vous êtes dans l’obligation légale d’effectuer une analyse d’impact relative à la protection des données pour chaque traitement concerné.

Cette analyse d’impact, également appelée DPIAData Protection Impact Assessment en anglais, consiste à réaliser une étude complète afin de :

  • déterminer la cause d’un risque et estimer le potentiel de non-conformité,
  • améliorer un traitement de données pour qu’il respecte les droits des personnes,
  • réunir les conditions techniques et organisationnelles nécessaires,
  • prouver qu’un risque est écarté.

L’analyse d’impact d’un traitement présentant un risque permet de trouver la meilleure solution pour écarter toute fuite de données, sensibles ou non.

ORGANISER LES PROCESSUS INTERNES

Pour assurer un haut niveau de protection des données personnelles en permanence, mettez en place des procédures internes qui garantissent la prise en compte de la protection des données à tout moment, en prenant en compte l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (ex : faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, changement de prestataire).

Pour garantir la meilleure protection des données possible et la maintenir sur la durée, il faut mobiliser toutes ses ressources, sensibiliser ses collaborateurs, intégrer les bonnes pratiques pour enfin les mettre en application.

3 processus garantissent la conformité et déterminent si vous devez envisager une refonte totale ou partielle de votre organisation interne :

  • vos capacités technologiques,
  • la formation de vos collaborateurs,
  • les moyens permettant aux personnes d’exercer leurs droits.

DOCUMENTER LA CONFORMITÉ

Pour prouver votre conformité au règlement, vous devez constituer et regrouper la documentation nécessaire. Les actions et documents réalisés à chaque étape doivent être réexaminés et actualisés régulièrement pour assurer une protection des données en continu.

Le responsable de traitement doit démontrer sa conformité au RGPD en apportant la preuve documentaire de l’ensemble des procédures mises en place.

C’est le principe d’accountability : la responsabilité en français. Il s’agit de responsabiliser l’entreprise et de l’inciter à s’engager à respecter le cadre légal imposé par le Règlement Général sur la Protection des Données personnelles.

La GEDgestion électronique de documents, prend une part importante dans le dispositif RGPD : le tableau ci-dessous mentionne la longue liste des documents à établir et conserver.

21 mars 2020
© 2020 My Assist'IT | Tous droits réservés | Powered By Captiv Solutions